da Hardware Upgrade :
La versione Mac di Zoom, il software di videochiamata e
videoconferenza che ha conosciuto un successo inaspettato nel periodo del
lockdown dovuto alla pandemia, affetto da una vulnerabilit grave
che pu consentire ad un attaccante di riuscire a sfruttare i permessi
di root.
E’ lo sviluppatore ed esperto di sicurezza Patrick Wardle che ha scoperto
per primo la vulnerabilit, illustrandola nei giorni scorsi al Def Con di
Las Vegas. Wardle ha spiegato su che su Mac l’installer di Zoom richiede
la password all’utente durante le operazioni di installazione o
disinstallazione – una pratica abbastanza comune – ma la sua funzione di
aggiornamento automatico, abilitata come impostazione predefinita, non ne
ha invece bisogno: lo sviluppatore ha infatti scoperto che il programma di
aggiornamento Zoom di propriet e viene eseguito come utente root.
Mahalo to everybody who came to my @defcon
talk “You’re M̶u̶t̶e̶d̶ Rooted” 🙏🏽Was stoked to talk about (& live-demo 😅) a local priv-esc
vulnerability in Zoom (for macOS).Currently there is no patch 👀😱
Slides with full details & PoC exploit: https://t.co/viee0Yd5o2
#0day
pic.twitter.com/9dW7DdUm7P
patrick wardle (@patrickwardle) August
12, 2022
Un meccanismo di funzionamento apparentemente sicuro dal momento che solo
i client Zoom avrebbero potuto utilizzare la funzione di aggiornamento con
privilegi di root e allo scopo di estrarre solamente i pacchetti firmati
da Zoom.
Wardle ha per scoperto che per aggirare il controllo sarebbe stato
sufficiente indicare artificiosamente il nome del pacchetto
lecito (“Zoom Video … Certification Authority Apple Root
CA.pkg”). In altri termini qualsiasi aggressore avrebbe potuto indurre
Zoom ad eseguire un downgrade ad una versione precedente con bug e falle
da sfruttare a scopo di compromissione, o addirittura passare un pacchetto
completamente diverso per guadagnare l’accesso di root al sistema.
La scoperta stata comunicata a Zoom prima della divulgazione pubblica,
anche se la vulnerabilit era ancora accessibile durante la presentazione
che lo sviluppatore ha tenuto al Def Con nella giornata di sabato. Zoom ha
emesso un bollettino di sicurezza successivamente alla presentazione e una
patch che aggiorna Zoom
alla versione 5.11.5 e risolve il problema. L’aggiornamento
disponibile direttamente dal sito di Zoom oppure all’interno del programma
con l’usuale meccanismo di verifica degli aggiornamenti. Data la seriet
della vulnerabilit, il consiglio quello di aggiornare manualmente il
prima possibile.